Statistik zu Botnetz-basierten DDoS-Attacken im ersten Quartal 2015

Inhalt

    Methodologie

    DDoS-Attacken (Distributed-Denial-of-Service-Attacken) gehören zu den am weitesten verbreiteten Angriffsmethoden im Repertoire Cyberkrimineller. Der Sinn einer Attacke dieser Art besteht darin, das Informationssystem (zum Beispiel eine Webseite) in einen Zustand zu versetzen, in dem Anwender keinen Zugriff mehr darauf erhalten können. Eines der populärsten DDoS-Szenarien ist ein Angriff mit Hilfe von Botnetzen.

    Kaspersky Lab verfügt über langjährige anerkannte Expertise in der Bekämpfung von Cyberbedrohungen, darunter auch DDoS-Attacken der unterschiedlichsten Art und verschiedenster Komplexitätsniveaus. Unsere Experten beobachten die Aktivität von Botnetzen hauptsächlich mit Hilfe des Systems DDoS Intelligence (eine Komponente der Lösung ‚Kaspersky DDoS Protection‘), und können dadurch dazu beitragen, die Technologien zum Schutz vor DDoS-Attacken ständig zu verbessern. Das System DDoS Intelligence basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

    Es gibt verschiedene Ansätze für die Analyse von DDoS-Aktivität. Einer davon ist die Untersuchung von Attacken, die auf konkrete Ressourcen durchgeführt werden (in der Regel auf die Kunden der Unternehmen, die für deren Schutz vor DDoS-Attacken verantwortlich sind). Die im vorliegenden Bericht angewandte Methode zur Analyse von Botnetzaktivität erlaubt es nicht, sich auf einzelne Kunden zu beschränken, sondern macht einen anderen Blickwinkel erforderlich.

    Dieser Bericht vergleicht die von dem System DDoS Intelligence in der Zeit zwischen dem 1. Januar und dem 31. März (erstes Quartal) 2015 gesammelten Daten mit den entsprechenden Daten des vorangegangenen Quartals (1. Oktober bis 31. Dezember 2014).

    Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnets stammen.

    Der geografische Standort der Opfer der DDoS-Attacken und die Server, von denen die Befehle verschickt werden, werden nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

    Wir weisen ausdrücklich darauf hin, dass die Statistik des Systems DDoS Intelligence nur auf diejenigen Bots beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

    Quartalsergebnisse

    • Im ersten Quartal 2015 wurden 23.095 DDoS-Attacken unter Verwendung von Botnetzen registriert, rund elf Prozent weniger als im vorangegangenen Quartal (25.929 Attacken).
    • Im Berichtszeitraum gab es 12.281 individuelle Opfer von DDoS-Attacken. Das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).
    • China, die USA und Kanada führen das Rating der Länder an, die den meisten DDoS-Attacken ausgesetzt waren.
    • Die längste DDoS-Attacke, die im ersten Quartal 2015 registriert wurde, dauerte 140 Stunden (etwa sechs Tage). Die am stärksten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt.
    • SYN-DDoS und HTTP-DDoS waren die im ersten Quartal 2015 am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden.

    Geografie der Attacken

    Innerhalb des Berichtszeitraums wurden 23.095 DDoS-Attacken auf Ressourcen in 76 Ländern registriert. Gegenüber dem vorangegangenen Quartal ging die Zahl der Angriffe von 25.929 um rund 11 Prozent zurück. Gestiegen ist dagegen die Zahl der Länder, in denen sich die Angriffsziele befinden (vorher 66).

    Die meisten DDoS-Attacken entfielen wie auch schon im vierten Quartal 2014 auf Ressourcen in China, den USA und Kanada. Unter den Zehn am stärksten angegriffenen Ländern gibt es geringfügige Veränderungen, doch die zehn Länder selbst blieben gleich.

    botnet_assisted_de_1

    Abb. 1: Top 10 der Länder nach Zahl der Attacken im vierten Quartal 2014 und im ersten Quartal 2015

    Auf obenstehender Grafik ist zu erkennen, dass, während die Zahl der Angriffe auf Ressourcen in China und den USA deutlich zurückging, die Zahl der Attacken auf kanadische Server aber zugenommen hat. Ebenfalls gestiegen ist die Zahl der Angriffe auf Ressourcen in Russland, Südkorea und Frankreich.

    Betrachtet man die Anzahl der Opfer von DDoS-Attacken in jedem der Länder, so sehen die aktuellen Top 10 aus wie die vorangegangenen. Im ersten Quartal 2015 griffen Botnetze insgesamt 12.281 Ziele an, das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).

    botnet_assisted_de_2

    Abb. 2: Top 10 der Länder nach Zahl der individuellen Opfer von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

    In Russland, Südkorea und Frankreich stieg die Zahl der angegriffenen Ressourcen im Vergleich zum vorangegangenen Quartal ebenso wie die Zahl der Angriffe auf diese Länder. In Kanada ging aber die Zahl der Opfer – trotz der Zunahme der Attacken – zurück, was von intensiveren Überfällen durch Cyberkriminelle auf ein und dieselben Ressourcen in diesem Land zeugt.

    China und die USA führen in beiden Ratings, also sowohl nach Anzahl der Attacken als auch nach Zahl der Angriffsziele. Das ist dadurch zu erklären, dass das Hosting in diesen Ländern relativ günstig ist und viele Unternehmen einen Hosting-Provider in diesen Ländern wählen.

    Die im ersten Quartal registrierte höchste Zahl von Attacken auf eine Ressource betrug 21:

    Zahl der Attacken Ressource
    21 Russischsprachige Webseite (Investitionsgruppe)
    16 A Vietnamesische Webseite (Hochzeitsdienstleistungen)
    15 Hosting-Provider in den USA

    Abb. 3: Тop 3 nach Anzahl der Attacken auf eine Ressource, erstes Quartal 2015

    Auch wenn innerhalb des Berichtszeitraums die meisten Attacken auf China, die USA und Kanada entfielen, belegten im Rating nach Anzahl der Attacken trotzdem russische und vietnamesische Ressourcen die ersten zwei Plätze. Erst auf Position drei folgt ein Hosting-Provider in den USA.

    Veränderungsdynamik der Menge von DDoS-Attacken

    Im Laufe des ersten Quartals* schwankte die Zahl der DDoS-Attacken sehr stark. Ende Januar waren die Botnetze am aktivsten, Mitte Februar waren sie am wenigsten aktiv.

    botnet_assisted_de_3

    Abb. 4: Veränderungsdynamik der Zahl der DDoS-Attacken, erstes Quartal 2015

    * DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag. Zählt man nicht jede ununterbrochene Attacke einzeln (23.095), ergeben sich nach den zugrunde liegenden Daten daher etwas mehr Attacken (30.064).

    Wie auf der unten stehenden Grafik zu erkennen ist, war im Dezember vergangenen Jahres ein deutlicher Sprung in der Anzahl der DDoS-Attacken über Botnetze zu verzeichnen. Daraufhin nahm die Zahl der Angriffe im Laufe der Monate Januar und Februar gleichmäßig ab, begann dann aber im März erneut zu steigen. Die Spitze im Dezember lässt sich mit den Ferien über Weihnachten und Neujahr erklären, als Online-Gangster versuchten, die Funktionsfähigkeit der von Anwendern aufgerufenen Webseiten und Services zu untergraben.

    botnet_assisted_de_4

    Abb. 5: Zahl der Attacken pro Monat, viertes Quartal 2014 bis erstes Quartal 2015

    Der in Bezug auf Angriffe über Botnetze aktivste Wochentag war im ersten Quartal der Donnerstag, der damit den im vorangegangenen Quartal führenden Montag ablöste. Sonntags sind die Cyberkriminellen nach wie vor am wenigsten aktiv.

    botnet_assisted_de_5

    Abb. 6: Die für DDoS-Attacken beliebtesten Wochentage im vierten Quartal 2014 und im ersten Quartal 2015

    Art und Dauer der DDoS-Attacken

    Zu den wichtigsten Charakteristika von DDoS-Attacken zählen die Dauer und das Szenario, denn sie definieren die Höhe des Verlustes für die verteidigende Seite. Die überwiegende Mehrheit der Angriffe im Untersuchungszeitraum hatte eine Dauer von weniger als einer Stunde. Und während im vorangegangenen Quartal auch Attacken mit einer Dauer von bis zu zwei Wochen beobachtet wurden, gab es im ersten Quartal keine so lange andauernden Angriffe.

    Dauer in Stunden Zahl der Angriffsziele, Q4 2014 Zahl der Angriffsziele, Q1 2015
    Über 150 5 0
    100-149 8 3
    50-99 299 121
    20-49 735 433
    10-19 1679 703
    5-9 2161 1426
    Weniger als 4 8425 9594

    Abb. 7: Dauer der DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

    Der Typ einer DDoS-Attacke wird aufgrund des Formats der „Junk“-Anfragen definiert, die an die Zielressource geschickt werden. Im ersten Quartal 2015 war die populärste Art von DDoS-Attacken wie auch schon im vierten Quartal 2014 die Methode SYN-DDoS. Die Attacken des Typs TCP-DDoS traten den zweiten Platz an die Angriffsart http-DDoS ab.

    botnet_assisted_de_6

    Abb. 8: Die populärsten Typen von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

    Steuerungsserver und Botnetztypen

    Die Steuerungszentren, die Verbrecher zur Kontrolle ihrer Botnetze benutzen, können sich in unterschiedlichen Ländern befinden. Ihr Standort steht in der Regel in keinerlei Verhältnis zum Aufenthaltsort der Cyberkriminellen oder zur Geografie der Verteilung der Bots, die über diesen Steuerungsserver kontrolliert werden. Nach Anzahl der Steuerungsserver, die im ersten Quartal in den jeweiligen Ländern aktiv waren, stehen die USA, China und Großbritannien an erster Stelle.

    botnet_assisted_de_7

    Abb. 9: Verteilung der Botnetz-Steuerungsserver nach Ländern, erstes Quartal 2015

    Im ersten Quartal 2015 waren wie schon im vorangegangenen Quartal die Bots nach Anzahl der Attacken am aktivsten, die für die Infektion von Servern unter Linux vorgesehen sind – im Vergleich zu Bots, die für Windows-Geräte entwickelt wurden. Gleichzeitig blieb die Zahl der Attacken unter Verwendung von Windows-Botnetzen praktisch unverändert, während die Zahl der Angriffe von Linux-Botnetzen zurückging.

    botnet_assisted_de_8

    Abb. 10: Zahl der Attacken von Windows- und Linux-Botnetzen, viertes Quartal 2014 und erstes Quartal 2015

    Obwohl es wesentlich weniger Botnetze auf der Grundlage von Linux gibt, übersteigt die Zahl der von ihnen ausgehenden Attacken sowie auch die Durchschlagskraft dieser Attacken die Angriffe von Zombie-Netzen auf der Windows-Plattform. Das hängt damit zusammen, dass Cyberkriminelle durch die Infektion eines Servers unter Linux ein breites Spektrum an Möglichkeiten zur Manipulation von Netzwerkprotokollen erhalten, und auch damit, dass die Internetverbindung infizierter Server gewöhnlich schneller ist als die von privat genutzten Rechnern. Dadurch können die Attacken mit größerer Durchschlagskraft erfolgen.

    Zudem ist die Lebensdauer von Botnetzen auf Linux-Basis wesentlich länger als die der Windows-basierten Botnetze. Das liegt daran, dass es wesentlich schwieriger ist, solche Zombie-Netzwerke aufzuspüren und unschädlich zu machen, da Server unter Linux selten mit speziellen Schutzlösungen ausgestattet sind – im Gegensatz zu Geräten und Servern unter Windows.

    Anzumerken ist auch noch, dass 93,2 Prozent der Ziele im ersten Quartal 2015 nur von einer einzelnen Bot-Familie angegriffen wurden. In 6,2 Prozent der Fälle waren an einer Attacke zwei Familien gleichzeitig beteiligt, und in 0,6 Prozent der Fälle drei oder mehr. Die Verbrecher benutzten dann entweder gleichzeitig mehrere verschiedene Bot-Familien für die Attacke, oder die Auftraggeber des Überfalls haben sich gleichzeitig an mehrere ausführende Cyberkriminelle gewandt.

    Fazit

    Die Zahl der mit Hilfe von Botnetzen durchgeführten DDoS-Attacken sowie auch die Zahl der Opfer dieser Attacken gingen im ersten Quartal 2015 gegenüber dem vorangegangenen Quartal zurück. Gleichzeitig stieg die Zahl der von dieser Bedrohung betroffenen Länder an. Traditionell entfallen die meisten Angriffe auf Ressourcen in den USA und China, da in diesen Ländern günstiges Hosting angeboten wird, wodurch es dort auch viele potenzielle Angriffsziele gibt. Allerdings befinden sich in den Top 10 auch Ziele aus Europa und der pazifischen Region. Wie unsere Statistiken zeigen, sind die unterschiedlichsten Ressourcen von den mit Hilfe von Botnetzen durchgeführten DDoS-Attacken betroffen, unabhängig von ihrer geografischen Zugehörigkeit. Mehr noch, diese Bedrohung weitet ihre Grenzen weiter aus.

    Cyberkriminelle, die Botnetze zur Organisation von DDoS-Attacken benutzen, sind ziemlich hartnäckig: Die am längsten andauernde DDoS-Attacke, die Kaspersky Lab im ersten Quartal 2015 registrierte, lief etwa sechs Tage, und die am intensivsten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt. Doch wie Untersuchungen zeigen, ist selbst eine kurze einmalige Attacke in der Lage, die Funktionsfähigkeit einer ungeschützten Ressource zu zerstören. Eine einzige Attacke dieser Art kann ein Opfer bis zu 444.000 US-Dollar kosten, die Beeinträchtigung des guten Rufes einmal ganz außer Acht gelassen, die durch die Unzufriedenheit der Kunden entstehen kann, die den gewünschten Service nicht erhalten.

    Unternehmen, die sich der Internet-Sicherheit verschrieben haben, investieren in die Bekämpfung von DDoS-Attacken und Botnetzen, insbesondere indem sie neue Malware aufspüren und Signatur-Datenbanken hinzufügen. Zudem schützen sie ihre Server vor Hacks und Computer vor Infektionen, indem sie die Aktivität von Steuerungsservern unterbinden und ähnliches. Doch DDoS-Attacken gehören nach wie vor zu den populärsten Methoden im Repertoire Cyberkrimineller. Organisationen sollten sich daher rechtzeitig darum kümmern, ihre Schutzmechanismen zu verbessern. Ein Service zur Filterung von „Junk“-Traffic macht es möglich, dass Online-Ressourcen selbst während einer lange andauernden und leistungsstarken Attacke für die Nutzer erreichbar bleiben.

    Nützliche Links:

    Ökosystem Botnetze
    Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle
    IT Security Risks survey 2014: DDoS
    Kaspersky DDoS Protection webpage
    Kaspersky DDoS Protection whitepaper

    Glossar

    Bot – Schadprogramm, das auf Befehl von Cyberkriminellen verschiedene Aktionen durchführt.

    Bot-Familie – Gesamtheit der Bots, die auf demselben Quellcode basieren, also verschiedene Versionen ein und desselben Bots, wobei ihre Steuerungsserver unterschiedlich sein können.

    Botnetz – Gesamtheit der Geräte, die mit ein und demselben Bot infiziert sind, der mit ein und demselben Steuerungsserver verbunden ist. Cyberkriminelle verbreiten vorab spezielle Schadprogramme im Internet, die Server, Computer und mobile Geräte in aus der Ferne steuerbare „Zombies“ (oder auch Bots) verwandeln.

    С&C (Steuerungs-/Befehls-) Server – ein Server, über den Onlinegangster die Befehle an die Bots senden, und auf dem sie deren Antworten empfangen. Im Falle von DDoS-Attacken senden die Bots auf Befehl der Verbrecher gleichzeitig Anfragen direkt an die Ressource des Opfers oder über Drittserver, das heißt sie führen eine „verteilte Attacke“ durch.

    SYN-DDoS – Gesamtheit aller DDoS-Attacken, die eine Besonderheit des TCP-Protokolls (Transmission Control Protocol, Übertragungssteuerungsprotokoll) ausnutzen. Bei der Herstellung einer TCP-Verbindung führen der Client und der Server einen so genannten Threeway-Handshake durch. Der Client sendet ein Paket mit dem Flag SYN. Der Server antwortet, nachdem er das Paket erhalten hat, mit einem Paket mit den Flags SYN und ACK. Daraufhin sendet der Client ein ACK-Paket und bestätigt damit die Verbindung. Im Rahmen einer SYN-flood-Attacke sendet der Angreifer Pakete mit dem Flag SYN und fordert dabei kein Antwort-Paket mit den Flags SYN+ACK für die Verbindungsherstellung an, was den angegriffenen Server dazu bringt, Ressourcen für die Verarbeitung der Anfragedaten und das Absenden der Antwortpakete bereitzustellen.

    TCP-DDoS – Gesamtheit der Angriffe, die wie im Fall von SYN-flood eine Besonderheit des TCP-Protokolls ausnutzen, dabei aber eine Verbindung zum angegriffenen Server herstellen. Im Fall einer Attacke des Typs TCP-flood übermittelt die angreifende Seite nach erfolgreichem Abschluss der „Handshake“-Prozedur die „Junk“-Daten über die eingerichtete Verbindung in großem Umfang oder sehr langsam. Das überlastet den Server und macht es Anwendern unmöglich, Ressourcen auszuwählen.

    ICMP-DDoS – Gesamtheit der Angriffsszenarien über das Protokoll ICMP (Internet Control Message Protocol), das für die Übermittlung von Fehlermeldungen und anderen Ausnahmesituationen verwendet wird, die bei der Datenübermittlung auftreten. Im Falle einer Attacke sendet ein Cyberkrimineller eine Unmenge an ICMP-Anfragen in Richtung seines Angriffsziels, was dieses provoziert, Rechenleistung für die Verarbeitung der „Junk“-Anfragen zu verschwenden anstatt legitime Anfragen zu verarbeiten.

    UDP-DDoS – Gesamtheit der Angriffsszenarien, die das UDP-Protokoll verwenden, das keinen Verbindungsaufbau erforderlich macht (User Datagram Protocol). Der Angreifer sendet dem Opfer zahlreiche UDP-Pakete, von denen jedes die Bearbeitung seitens des Servers und seines Kommunikationsequipments erforderlich macht. Das überlastet die Rechenressourcen des Angriffsziels.

    HTTP-DDoS – alle Szenarien von DDoS-Attacken, deren Zielobjekte Webanwendungen sind. Im Rahmen der Umsetzung einer Attacke kann ein Cyberkrimineller sowohl normale GET/POST-Anfragen an die Homepage einer Webanwendung richten als auch nicht legitime Anfragen stellen (Anfragen nach irgendeiner Information in der Datenbank der Webanwendung, die Ausführung irgendwelcher Skripte seitens des Webservers und so weiter). Zudem können im Anfrage-Körper auch beliebige zusätzliche Header oder Cookie-Dateien eingefügt sein, um die Filter zu umgehen, die einen legitimen User anhand von Cookies identifizieren. Darüber hinaus kann ein Angreifer den Browser auf einem infizierten Gerät öffnen, um die Aktivität eines gewöhnlichen Webseiten-Besuchers zu imitieren, und so den Schutzsystemen des Angriffsziels die Möglichkeit zu nehmen, die Bots im allgemeinen Besucherstrom auszumachen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.